您页面中的AJAX调用可以发出的任何请求也可以由应用程序外部的人发出。如果操作正确，您将无法确定它们是来自Web应用还是通过手动/其他方式进行的AJAX调用。

当您说要确保只有AJAX调用可以发布数据时，我可能会想到两种情况：一种是您不希望恶意用户能够发布会干扰另一种数据的数据。用户数据，或者您实际上想将帖子限制在多请求操作的“流程”中。

如果您担心第一种情况（有人向其他用户发布恶意数据/以其他用户身份发布），则无论您是否使用AJAX，解决方案都是相同的-
您只需通过必要的方式对用户进行身份验证-通常是通过会话进行曲奇饼。

如果您担心第二种情况，那么您将必须执行一些操作，例如在流程的每个步骤中发出唯一令牌，并将预期令牌存储在服务器端。然后，在发出请求时，请检查服务器端是否有针对正在执行的操作的相应条目，并且预期的令牌匹配并且该令牌尚未使用。如果没有，则拒绝该请求；如果存在，则将该令牌标记为已使用并处理该请求。

如果您担心的不是这两种情况之一，那么答案将取决于比您提供的更多的细节。